Activer la surveillance du temps d'exécution pour Amazon ECS

Vous pouvez configurer GuardDuty pour gérer automatiquement l'agent de sécurité pour tous vos clusters Fargate.

Prérequis

Les conditions requises pour utiliser Runtime Monitoring sont les suivantes :

La version de la plateforme Fargate doit 1.4.0 être ou ultérieure pour Linux.
IAMrôles et autorisations pour Amazon ECS :
- Les tâches Fargate doivent utiliser un rôle d'exécution de tâches. Ce rôle accorde aux tâches l'autorisation de récupérer, de mettre à jour et de gérer l'agent GuardDuty de sécurité en votre nom. Pour plus d'informations, voir IAMRôle d'exécution des ECS tâches Amazon.
- Vous contrôlez la surveillance du temps d'exécution pour un cluster à l'aide d'une balise prédéfinie. Si vos politiques d'accès limitent l'accès en fonction des balises, vous devez accorder des autorisations explicites à vos IAM utilisateurs pour étiqueter les clusters. Pour plus d'informations, consultez le IAMdidacticiel : Définissez les autorisations d'accès aux AWS ressources en fonction des balises du guide de IAM l'utilisateur.
Connexion au ECR référentiel Amazon :

L'agent GuardDuty de sécurité est stocké dans un ECR référentiel Amazon. Chaque tâche autonome et de service doit avoir accès au référentiel. Vous pouvez utiliser l'une des options suivantes :
- Pour les tâches dans les sous-réseaux publics, vous pouvez soit utiliser une adresse IP publique pour la tâche, soit créer un VPC point de terminaison pour Amazon ECR dans le sous-réseau où la tâche s'exécute. Pour plus d'informations, consultez Amazon ECR interface VPC endpoints (AWS PrivateLink) dans le guide de l'utilisateur d'Amazon Elastic Container Registry.
- Pour les tâches dans des sous-réseaux privés, vous pouvez utiliser une passerelle de traduction d'adresses réseau (NAT) ou créer un VPC point de terminaison pour Amazon ECR dans le sous-réseau sur lequel la tâche s'exécute.
  
  Pour plus d'informations, consultez Sous-réseau et NAT passerelle privés.
Vous devez avoir le AWSServiceRoleForAmazonGuardDuty rôle pour GuardDuty. Pour plus d'informations, consultez la section Autorisations relatives aux rôles liés à un service GuardDuty dans le guide de GuardDutyl'utilisateur Amazon.
Tous les fichiers que vous souhaitez protéger avec Runtime Monitoring doivent être accessibles par l'utilisateur root. Si vous avez modifié manuellement les autorisations d'un fichier, vous devez le définir sur755.

Les conditions requises pour utiliser la surveillance du temps d'exécution sur les instances de EC2 conteneur sont les suivantes :

Vous devez utiliser la version 20230929 ou ultérieure d'Amazon ECS -AMI.
Vous devez exécuter l'ECSagent Amazon conformément à la version 1.77 ou à une version ultérieure sur les instances de conteneur.
Vous devez utiliser la version du noyau 5.10 ou une version ultérieure.
Pour plus d'informations sur les systèmes d'exploitation et les architectures Linux pris en charge, consultez la section Quels sont les modèles d'exploitation et les charges de travail pris en charge par GuardDuty Runtime Monitoring.
Vous pouvez utiliser Systems Manager pour gérer vos instances de conteneur. Pour plus d'informations, consultez la section Configuration de Systems Manager pour les EC2 instances dans le Guide de AWS Systems Manager Session Manager l'utilisateur.

Procédure

Vous activez la surveillance du temps d'exécution dans GuardDuty. Pour plus d'informations sur l'activation de cette fonctionnalité, consultez la section Enabling Runtime Monitoring dans le guide de GuardDuty l'utilisateur Amazon.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Surveillance du temps d'exécution pour les charges de travail Fargate

Ajout de la surveillance du temps d'exécution aux tâches Fargate existantes